文章目录
- 👹 关于作者
- 一、为什么会出现容器?
- 二、容器是什么?
- 三、容器“边界”的实现手段
- 3.1、进程如何运行的?
- 3.2、Namespace 与 Docker 边界
- 容器的本质是一个进程
- 这是怎么做到的呢?
- 总结
- ✊ 最后
- 参考
👹 关于作者
大家好,我是秋意零。
😈 CSDN作者主页
- 😎 博客主页
👿 简介
- 👻 普通本科生在读
- 在校期间参与众多计算机相关比赛,如:🌟 “省赛”、“国赛”,斩获多项奖项荣誉证书
- 🔥 各个平台,秋意零/秋意临 账号创作者
- 🔥 云社区 创建者
点赞、收藏+关注下次不迷路!
欢迎加入云社区
一、为什么会出现容器?
- 我们来假设一个场景,某个客户向某个公司定制了一个产品,经过2个月的使用这个产品终于完成了,并且在>自己公司中也是可以安全运行的,这个时候就需要到客户哪里交付,需要现场安装部署。
- 在安装部署过程中,需要在客户哪里准备好自己产品的运行环境,由于产品比较大,配置环境是非常浪费时间和精力的,而且这个过程中或许还会出现自己公司没有遇到过的问题。
- 显然这种传统方式,是需要优化改进的。这个时候就出现了容器部署,
容器解决了应用打包的这个根本难题
当然还要其它应用场景,这里只是说明一个举例。
二、容器是什么?
紧跟上面的例子:
容器解决了应用打包的这个根本难题
- 这个打包包含应用环境和应用本身,就是说可以打包自己应用和环境,这就是一个镜像,有了这个镜像,我们只需要携带这个镜像到客户现场运行这个镜像就行了,这时运行的镜像就称为容器。
- 容器其实是一种沙盒技术。顾名思义,沙盒就是能够像一个集装箱一样,把你的应用“装”起来的技术。这样,应用与应用之间,就因为有了边界而不至于相互干扰;而被装进集装箱的应用,也可以被方便地搬来搬去。
专业名词:
- image: 镜像包含应用和应用环境
- contaienr: 容器是镜像的运行出来的状态
- registry: 仓库是存放镜像的地方
容器本身没有太大价值,有价值的是“容器编排” (相当于是说,技术本身没有价值,价值在于解决实际问题)
- 编排主要是容器之间的关系,也之所以 Kubernetes 项目和CNCF社区 火的原因之一
这里简单提一嘴: Kubernetes 可以看作是操作系统,而容器就是应用程序进程
三、容器“边界”的实现手段
3.1、进程如何运行的?
- 假如,你要写一个计算加减法的程序,这个程序需要的输入来自一个文件,计算结果输出到另一个文件
- 因为计算机只认识二进制 0 和 1,不管用什么语言编写,都需要将这段代码编译成二进制文件,这样计算机才能运行。
- 我们知道我们的数据(程序)是存放在磁盘当中的,运行程序时需要将磁盘数据放入内存中,这样CPU、寄存器和内存协作计算,还有被打开的文件,以及各种各样的 I/O 设备在不断地调用中修改自己的状态,这个程序就运行起来了。
- 一旦“程序”被执行起来,它就从磁盘上的二进制文件,变成了内存中的数据、寄存器里的值、堆栈中的指令、被打开的文件,以及各种设备的状态信息的一个集合。这样的一个程序运行集合就是我们的今天的主角:进程
- 所以,对于进程来说,它的静态表现是程序,存放在磁盘中;动态表现是进程,数据和状态的集合。
3.2、Namespace 与 Docker 边界
- 而容器技术的核心功能,就是通过约束和修改进程的动态表现,从而为其创造出一个“边界”。
- 对于 Docker 等大多数 Linux 容器,Cgroups 技术是用来制造约束的主要手段,而 Namespace 技术则是用来修改进程视图的主要方法。
可能觉得 Cgroups 和 Namespace 这两个概念很抽象,我们一起动手实践一下,就很容易理解这两项技术了。
我们使用 docker run 运行一个镜像容器,-it 参数是分配一个文本输入/输出环境,TTY
[root@master01 ~]# docker run -it busybox /bin/sh
/ # ps
PID USER TIME COMMAND
1 root 0:00 /bin/sh
7 root 0:00 ps
可以看到,我们第一个进程号是
PID=1,并且运行的是/bin/sh命令,还有一个就是我们刚才执行的ps命令
可以看到,我们已经被 Docker 隔离在一个跟宿主机完全不同的环境当中。
容器的本质是一个进程
宿主机上我们执行 ps 命令可以看到,宿主机上有个进程,这个进程是我们运行容器时所使用的命令,也代表了我们容器也是一个进程表现出来的,所以
容器的本质是一个进程。
[root@master01 ~]# ps -aux | grep "/bin/sh"
...
root 97285 0.3 0.2 933264 21796 pts/0 Sl+ 11:33 0:00 docker run -it busybox /bin/sh
...
为了表现这个容器是进程我们做一个实验
- 首先连接工具开两个窗口
- 一个运行的是
docker run -it busybox /bin/sh这样一条命令- 另一个执行
ps -aux | grep "/bin/sh"找到这里的docker run -it busybox /bin/sh进程,执行kill -9 97285(这里通过 ps 命令可以看到我的容器 PID 是97285)杀掉这个进程,如图可以看到docker run -it busybox /bin/sh进程退出了,说明了容器的本质是一个进程。
这是怎么做到的呢?
- 本来,每当我们在宿主机上运行了一个
/bin/sh程序时,操作系统都会给它分配一个进程编号,比如 PID=1000。 进程编号具有唯一标识,就像员工的工号,所以我们可以看作 /bin/sh 是公司里的第 1000 名员工,而 1 号员工就是老板,管理全局的人。- 现在,我们通过 Docker 把这个
/bin/sh程序运行在一个容器中。这时,Docker 就会在这个 1000 号员工入职时给他一个“障眼法”,让他永远看不到前面的其他 999 个员工,更看不到老板。这样,他就会以为自己第 1 号员工。
这种机制,其实就是对被隔离应用的进程空间做了手脚,也就是使用了 Linxu 中的 Namespace 技术。
这种 Namespace 使用方式,其实是 Linux 创建新进程的一个可选参数,比如:
# 创建一个新的进程,并且返回它的进程号 pid
int pid = clone(main_function, stack_size, SIGCHLD, NULL);
而当我们用 clone() 系统调用创建一个新进程时,就可以在参数中指定 CLONE_NEWPID 参数(新PID),比如:
int pid = clone(main_function, stack_size, CLONE_NEWPID | SIGCHLD, NULL);
这时,新创建的这个进程将会“看到”一个全新的进程空间,在这个进程空间里,它的 PID 是 1。之所以说“看到”,是因为这只是一个“障眼法”,在宿主机真实的进程空间里,这个进程的 PID 还是真实的数值,比如 100。
- 我们还可以多次执行上面的 clone() 调用,这样就会创建多个 PID Namespace,而每个 Namespace 里的应用进程,都会认为自己是当前容器里的第 1 号进程
- 除了我们刚刚用到的 PID Namespace,Linux 操作系统还提供了 Mount、UTS、IPC、Network 和 User 这些 Namespace,用来对各种不同的进程上下文进行“障眼法”操作。
- 比如,Mount Namespace,用于让被隔离进程只看到当前 Namespace 里的挂载点信息;Network Namespace,用于让被隔离进程看到当前 Namespace 里的网络设备和配置。
这,就是 Linux 容器最基本的实现原理了
Docker 容器这个听起来玄而又玄的概念,实际上是在创建容器进程时,指定了这个进程所需要启用的一组 Namespace 参数。这样,容器就只能“看”到当前 Namespace 所限定的资源、文件、设备、状态,或者配置。而对于宿主机以及其他不相关的程序,它就完全看不到了。
所以说,容器,其实是一种特殊的进程而已。
总结
相信大家学容器时都看过这个虚拟机和容器的对比图。
-
左边是虚拟机的工作原理,其中 Hypervisor 软件是虚拟机最重要的部分,它可以实现模拟出各种硬件,比如:CPU、内存、磁盘等,在 Hypervisor 软件层之上创建 Guest OS 也就是客户机操作系统,Guest OS 和 Hypervisor 模拟出来的硬件交互 ,这样用户应用程序就可以运行在这个虚拟机中,用户自然看到的就是这个新的操作系统的文件系统结构,这也是虚拟机也能起到将不同应用程序相互隔离的原因。
-
右边,则用一个名为 Docker Engine 的软件替换了 Hypervisor。这也是为什么,很多人会把 Docker 项目称为“轻量级”虚拟化技术的原因,实际上就是把虚拟机的概念套在了容器上。这样的说明并不严谨,因为 容器本质是运行在宿主机上的进程,使用的是 Namespace 技术,通过 Namespace 技术实现网络、磁盘、PID、用户等隔离。
相信你此刻已经会心一笑:容器隔离不过都是“障眼法”罢了。
✊ 最后
👏 我是秋意临,欢迎大家一键三连、加入云社区
👋 我们下期再见(⊙o⊙)!!!
参考
参考《深入剖析Kubernetes》作者 张磊
